【経緯と疑問点整理】Zaifから約67億円相当の仮想通貨が盗難

9月28日追記:Zaifは、25日付け近畿財務局の発出した業務改善命令に対して、9月27日に改善計画書を提出した、と発表しています。
https://corp.zaif.jp/info/10252/
9月20日午前2時15分、Zaifを運営するテックビューロは、日本円にして約67億円の仮想通貨が盗難されたことを公表しました。
プレスリリース:https://prtimes.jp/main/html/rd/p/000000093.000012906.html
事象発覚までの経緯
プレスリリースで発表された内容と、Zaifのツイッターからわかる経緯は以下のように整理されます。
(※9月20日02:15に発表されたプレスリリースから経緯を抽出したもので、その日付にプレスリリースが出た訳ではありません)
日付 | 時刻 | ネタ元 | 発表内容 |
9月14日(金) |
17時から19時ごろ |
プレスリリース | ・外部からの不正アクセスにより、ホットウォレットで管理している仮想通貨が不正に送金
・具体的な不正アクセスの手法は非公開 |
9月17日(祝) |
不明 |
プレスリリース | ・サーバの異常を検知 |
16:57 |
・BTCとMONAの入出金がサーバ障害により停止 | ||
20:48 |
・BCHの入出金がサーバ障害により停止
・ZaifPaymentによる決済停止 ・原因調査中 |
||
9月18日(火) |
11:48 |
・引き続き3種類の入出金停止
・お客様資産の安全確認完了 ・1~2営業日中に復旧予定 |
|
20:22 |
・複数の通貨の出金停止 | ||
不明 |
プレスリリース | ・ハッキングの被害を確認
・財務局へ報告 ・捜査当局への被害申告 |
|
9月20日(水) |
02:15 |
プレスリリース | ・今回のプレスリリースを発表 |
02:57 |
自社サイト | ・プレスリリースを掲載 | |
02:59 |
・プレスリリースを発表したことを公表 |
疑問点
経緯をまとめると、以下のような疑問が出てきます。
疑問その1:9月14日に不正送金が行われた場合、有高と利用者の帳簿残高が一致しなくなるが、9月18日まで、その点に気づかなかった。
通常、仮想通貨交換業者に対しては、有高(ウォレット内の残高:銀行でいう手元の現金)と各利用者の帳簿上の残高(銀行いう、システムに記録されている現金の残高)が一致することを日々確認することが求められています(銀行では「締め処理」と呼ばれ、15時に店を閉めてから、この作業が始まります)。これは、金融庁が「中間とりまとめ」の中でも、「複数の事業者で認められた事例」として明記している内容です。
利用者の暗号資産に係る帳簿とブロックチェーン上の有高との照合作業を毎営業日実施しておらず、照合作業が適切に行われているかについて事後的な検証を行っていない。
9月14日は金曜日です。締め時刻については分かりませんが、ハッキングが17時ごろから19時ごろに行われたとすれば、少なくとも直後の締め処理では、確実に発覚するはずです。
疑問その2:9月17日のサーバ異常はどのようなものか。この時点では、ハッキングの被害が確認されていないことになるため、ハッキングとサーバ異常の関連が不明確。
仮に、この異常が疑問1に示したような「残高不一致」だったとすれば、「毎営業日実施していない」ことを裏付けます。17日に残高不一致を確認してから、18日にハッキング被害を確認した、というのは動きが遅いといえます。経緯を確認する限り、17日のサーバ異常は、16:57以前でなければ不自然ですし、18日のハッキングの被害を確認したのは、11:48以降でなければ不自然です。
(9月17日は祝日なので、17日に検出されたサーバ異常が「残高不一致」だったとした場合、直後の締め日である9月15日の時点で残高不一致が検出されていないため、金融庁の指摘に対応していないことになります)
疑問その3:9月18日、ハッキングの被害確認と、お客様資産の安全確認は、どちらが先だったのか。また、お客様資産の安全確認は、何を、どのようなレベルで確認したのか。
twitterで公表している内容なので、この時系列と確認方法、判断基準については、財務局に対しても説明を求められることになりますし、利用者に対しても説明する必要があるものと考えられます。
疑問その4:業務改善命令で指摘されていた内容が、今回のハッキングで利用されていたのか。
近畿財務局が6月22日付けで業務改善命令を出しており、それに対してZaif側は改善計画書を7月23日に提出したことを公表していますが、業務改善命令では、毎月10日までに改善状況の報告を求めています。
近畿財務局(業務改善命令):http://kinki.mof.go.jp/file/rizai/pagekinkihp025000045.html
テックビューロー(業務改善計画提出):https://corp.zaif.jp/info/9967/
業務改善計画の内容と、今回発生した事象の関連として、修正中の課題を狙われたものなのか、それとも無関係なのか、といった点も、明らかにすべきと考えます。
今後も、新しい情報が確認された時点で、記事を更新していきます。